GitHub 廢除基于密碼的 Git 身份驗(yàn)證

CSDN(ID:CSDNnews)
CSDN
近日,代碼托管平臺(tái)GitHub于當(dāng)?shù)貢r(shí)間8月13日周五這天正式廢除了基于密碼的Git身份驗(yàn)證。從09:00 PST(PST是北美太平洋標(biāo)準(zhǔn)時(shí)間,北京時(shí)間14日0點(diǎn))開始,使用GitHub開發(fā)者將需要切換到基于令牌的身份驗(yàn)證去執(zhí)行Git操作,基于令牌的認(rèn)證包括個(gè)人接入、OAuth、SSH Key活GitHub App安裝令牌。

近日,代碼托管平臺(tái)GitHub于當(dāng)?shù)貢r(shí)間8月13日周五這天正式廢除了基于密碼的Git身份驗(yàn)證。從09:00 PST(PST是北美太平洋標(biāo)準(zhǔn)時(shí)間,北京時(shí)間14日0點(diǎn))開始,使用GitHub開發(fā)者將需要切換到基于令牌的身份驗(yàn)證去執(zhí)行Git操作,基于令牌的認(rèn)證包括個(gè)人接入、OAuth、SSH Key活GitHub App安裝令牌。

此前在2020年12月15日,GitHub就在官方博客上宣布:”從2021年8月13日開始,在GitHub.com上執(zhí)行Git操作時(shí),不再接受以賬戶密碼的形式完成身份驗(yàn)證。”

1.jpg

更換身份驗(yàn)證方式的原因

實(shí)際上早在2020年7月30日,GitHub也曾表示:“將在所有需要身份驗(yàn)證的Git操作中使用基于令牌的驗(yàn)證機(jī)制,比如個(gè)人訪問、OAuth或者GitHub App安裝令牌。如果用戶目前正在使用密碼通過GitHub.com對(duì)Git操作進(jìn)行身份驗(yàn)證,則將很快收到一封電子郵件,敦促用戶更新身份驗(yàn)證方法或第三方客戶端。”

同時(shí)官方也給出了更換身份驗(yàn)證方式的時(shí)間安排:

2020年7月30日——如果用戶現(xiàn)在使用密碼通過API進(jìn)行身份驗(yàn)證,可能會(huì)收到一封電子郵件,敦促用戶更新身份驗(yàn)證方法或第三方客戶端。

2020年9月30日和10月28日——所有API操作都將暫時(shí)需要個(gè)人訪問或OAuth令牌,以鼓勵(lì)用戶更新其身份驗(yàn)證方法。

2020年11月13日——所有通過REST API進(jìn)行身份驗(yàn)證的操作都需要個(gè)人訪問或OAuth令牌(使用GraphQL API進(jìn)行身份驗(yàn)證已經(jīng)需要個(gè)人訪問令牌)。

2021年中期–——所有經(jīng)過身份驗(yàn)證的Git操作都需要個(gè)人訪問權(quán)限或OAuth令牌。

GitHub官方認(rèn)為,近年來受益于GitHub.com的許多安全增強(qiáng)功能,例如雙重身份驗(yàn)證、登錄警報(bào)、設(shè)備保護(hù)、防止使用受損密碼和WebAuthn支持。這些功能使攻擊者很難在多個(gè)網(wǎng)站上獲取重復(fù)使用的密碼,并使用它來訪問用戶的GitHub帳戶。盡管這些安全驗(yàn)證方式有了一些改進(jìn),但是由于歷史原因,未啟用雙重身份驗(yàn)證的客戶仍能夠使用其GitHub用戶名和密碼繼續(xù)對(duì)Git和API操作進(jìn)行身份驗(yàn)證,導(dǎo)致這部分用戶賬戶安全受到威脅。

而且GitHub也認(rèn)為與基于密碼的身份驗(yàn)證相比,令牌的使用提供了許多安全優(yōu)勢(shì):

唯一性——令牌特定于GitHub,可按使用次數(shù)或按設(shè)備生成。

可撤銷——可以隨時(shí)單獨(dú)撤銷令牌,不需要更新未受影響的憑據(jù)

有限性——令牌的使用范圍嚴(yán)格控制,僅允許執(zhí)行用例中需要的訪問活動(dòng)

隨機(jī)性——令牌的復(fù)雜度遠(yuǎn)高于用戶設(shè)計(jì)的簡單密碼,因此不受暴力破解等行為的影響。

啟動(dòng)最新身份驗(yàn)證方式的影響

工作流程受影響

命令行Git訪問。

使用Git的桌面應(yīng)用程序(GitHub Desktop不受影響)。

使用用戶的密碼直接訪問GitHub.com上的Git存儲(chǔ)庫的任何應(yīng)用程序/服務(wù)。

不受更改的影響:

如果用戶的帳戶啟用了雙重身份驗(yàn)證,需要使用基于令牌或基于SSH的身份驗(yàn)證。

如果用戶使用GitHub Enterprise Server,對(duì)此不受影響。

如果用戶維護(hù)一個(gè)GitHub App,GitHub Apps目前不支持密碼認(rèn)證。

用戶需要做什么

對(duì)于開發(fā)人員,如果用戶現(xiàn)在需要使用密碼對(duì)GitHub.com的Git操作進(jìn)行身份驗(yàn)證,則必須在2021年8月13日之前通過HTTPS(推薦)或SSH密鑰開始使用個(gè)人訪問令牌,以避免中斷。如果用戶收到郵件提醒,提示使用的是過時(shí)的第三方集成軟件,則應(yīng)將客戶端更新到最新版本。

對(duì)于集成商,必須在2021年8月13日之前使用網(wǎng)絡(luò)或設(shè)備授權(quán)流程對(duì)集成進(jìn)行身份驗(yàn)證,以避免中斷。有關(guān)更多信息,請(qǐng)參閱授OAuth應(yīng)用程序和開發(fā)者博客上的公告。

可以啟用雙重身份驗(yàn)證,如果用戶想確保自己帳戶不允許基于密碼的身份驗(yàn)證,可以立即啟用雙重身份驗(yàn)證。這將要求用戶通過Git和第三方集成對(duì)所有經(jīng)過身份驗(yàn)證的操作使用個(gè)人訪問令牌。

https://github.blog/2020-07-30-token-authentication-requirements-for-api-and-git-operations/

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論

本月熱門

精選文章

熱點(diǎn)資訊